- 相干保举
在Linux体系中利用lsof号令的教程
在Linux体系中利用lsof号令的教程
lsof是体系办理/宁静的尤伯工具。我大大都时辰用它来从体系取得与收集毗连相干的信息,但那只是这个壮大而又不为人知的利用的第一步。将这个工具称之为lsof其实名副其实,由于它是指“列出翻开文件(lists openfiles)”。而有一点要服膺,在Unix中统统(包含收集套接口)都是文件。
风趣的是,lsof也是有着最多开关的Linux/Unix号令之一。它有那末多的开关,它有很多选项撑持利用-和+前缀。
usage: [-?abhlnNoOPRstUvV] [+|-c c] [+|-d s] [+D D] [+|-f[cgG]]
[-F [f]] [-g [s]] [-i [i]] [+|-L [l]] [+|-M] [-o [o]]
[-p s] [+|-r [t]] [-S [t]] [-T [t]] [-u s] [+|-w] [-x [fl]] [--] [names]
正如你所见,lsof有着其实是使人惊奇的选项数目。你能够利用它来取得你体系上装备的信息,你能经由过程它领会到指定的用户在指定的地点正在碰甚么工具,或乃至是一个历程正在利用甚么文件或收集毗连。
对我,lsof替换了netstat和ps的全数使命。它能够带来那些工具所能带来的统统,并且要比那些工具多很多。那末,让咱们来看看它的一些根基才能吧:
关头选项
懂得一些对lsof若何使命的关头性工具是很重要的。最重要的是,当你给它通报选项时,默许行动是对成果停止“或”运算。是以,若是你恰是用-i来拉出一个端口列表,同时又用-p来拉出一个历程列表,那末默许情况下你会取得二者的成果。
上面的一些别的工具须要服膺:
默许 : 不选项,lsof列出活泼历程的统统翻开文件
组合 : 能够将选项组合到一路,如-abc,但要把稳哪些选项须要参数
-a : 成果停止“与”运算(而不是“或”)
-l : 在输入显现用户ID而不是用户名
-h : 取得赞助
-t : 仅取得历程ID
-U : 取得UNIX套接口地点
-F : 格局化输入成果,用于别的号令。能够经由过程多种体例格局化,如-F pcfn(用于历程id、号令名、文件描写符、文件名,并以空停止)
取得收集信息
正如我所说的,我首要将lsof用于取得对体系怎样和收集交互的信息。这里供给了对此信息的一些主题:
利用-i显现统统毗连
有些人喜好用netstat来取得收集毗连,可是我更喜好利用lsof来停止此项使命。成果以对我来讲很直观的体例显现,我仅仅只要转变我的语法,就能够经由过程一样的号令来取得更多信息。
# lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
dhcpcd 6061 root 4u IPv4 4510 UDP *:bootpc
sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)
利用-i 6仅取得IPv6流量
# lsof -i 6
仅显现TCP毗连(同理可取得UDP毗连)
你也能够经由过程在-i后供给对应的和谈来仅仅显现TCP或UDP毗连信息。
# lsof -iTCP
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)
利用-i:port来显现与指定端口相干的收集信息
或,你也能够经由过程端口搜刮,这对要找出甚么制止了别的一个利用绑定到指定端口其实是太棒了。
# lsof -i :22
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
sshd 7703 root 3u IPv6 6499 TCP *:ssh (LISTEN)
sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->192.168.1.5:49901 (ESTABLISHED)
利用@host来显现指定到指定主机的毗连
这对你在查抄是不是开放毗连到收集中或互联网上某个指定主机的毗连时非常有效。
# lsof [email protected]
sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->172.16.12.5:49901 (ESTABLISHED)
利用@host:port显现基于主机与端口的毗连
你也能够组合主机与端口的显现信息。
# lsof [email protected]:22
sshd 7892 root 3u IPv6 6757 TCP 10.10.1.5:ssh->172.16.12.5:49901 (ESTABLISHED)
找出监听端口
找出正等待毗连的端口。
# lsof -i -sTCP:LISTEN
你也能够grep “LISTEN”来实现该使命。
# lsof -i | grep -i LISTEN
iTunes 400 daniel 16u IPv4 0x4575228 0t0 TCP *:daap (LISTEN)
找出已成立的毗连
你也能够显现任何已毗连的毗连。
# lsof -i -sTCP:ESTABLISHED
你也能够经由过程grep搜刮“ESTABLISHED”来实现该使命。
[/code]# lsof -i | grep -i ESTABLISHED
firefox-b 169 daniel 49u IPv4 0t0 TCP 1.2.3.3:1863->1.2.3.4:http (ESTABLISHED)[/code]
用户信息
你也能够取得各类用户的信息,和它们在体系上正干着的工作,包含它们的收集勾当、对文件的操纵等。
利用-u显现指定用户翻开了甚么
# lsof -u daniel
-- snipped --
Dock 155 daniel txt REG 14,2 2798436 823208 /usr/lib/libicucore.A.dylib
Dock 155 daniel txt REG 14,2 1580212 823126 /usr/lib/libobjc.A.dylib
Dock 155 daniel txt REG 14,2 2934184 823498 /usr/lib/libstdc++.6.0.4.dylib
Dock 155 daniel txt REG 14,2 132008 823505 /usr/lib/libgcc_s.1.dylib
Dock 155 daniel txt REG 14,2 212160 823214 /usr/lib/libauto.dylib
-- snipped --
利用-u user来显现除指定用户之外的别的统统用户所做的工作
# lsof -u ^daniel
-- snipped --
Dock 155 jim txt REG 14,2 2798436 823208 /usr/lib/libicucore.A.dylib
Dock 155 jim txt REG 14,2 1580212 823126 /usr/lib/libobjc.A.dylib
Dock 155 jim txt REG 14,2 2934184 823498 /usr/lib/libstdc++.6.0.4.dylib
Dock 155 jim txt REG 14,2 132008 823505 /usr/lib/libgcc_s.1.dylib
Dock 155 jim txt REG 14,2 212160 823214 /usr/lib/libauto.dylib
-- snipped --
杀死指定用户所做的统统工作
能够覆灭指定用户运转的统统工具,这真不错。
# kill -9 `lsof -t -u daniel`
号令和历程
能够检查指定法式或历程由甚么启动,这凡是会很有效,而你能够利用lsof经由过程称号或历程ID过滤来实现这个使命。上面列出了一些选项:
利用-c检查指定的号令正在利用的文件和收集毗连
# lsof -c syslog-ng
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslog-ng 7547 root cwd DIR 3,3 4096 2 /
syslog-ng 7547 root rtd DIR 3,3 4096 2 /
syslog-ng 7547 root txt REG 3,3 113524 1064970 /usr/sbin/syslog-ng
-- snipped --
利用-p检查指定历程ID已翻开的内容
# lsof -p 10075
-- snipped --
sshd 10068 root mem REG 3,3 34808 850407 /lib/libnss_files-2.4.so
sshd 10068 root mem REG 3,3 34924 850409 /lib/libnss_nis-2.4.so
sshd 10068 root mem REG 3,3 26596 850405 /lib/libnss_compat-2.4.so
sshd 10068 root mem REG 3,3 200152 509940 /usr/lib/libssl.so.0.9.7
sshd 10068 root mem REG 3,3 46216 510014 /usr/lib/liblber-2.3
sshd 10068 root mem REG 3,3 59868 850413 /lib/libresolv-2.4.so
sshd 10068 root mem REG 3,3 1197180 850396 /lib/libc-2.4.so
sshd 10068 root mem REG 3,3 22168 850398 /lib/libcrypt-2.4.so
sshd 10068 root mem REG 3,3 72784 850404 /lib/libnsl-2.4.so
sshd 10068 root mem REG 3,3 70632 850417 /lib/libz.so.1.2.3
sshd 10068 root mem REG 3,3 9992 850416 /lib/libutil-2.4.so
-- snipped --
-t选项只前往PID
# lsof -t -c Mail
350
文件和目次
经由过程检查指定文件或目次,你能够看到体系上统统正与其交互的资本——包含用户、历程等。
显现与指定目次交互的统统统统
# lsof /var/log/messages/
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME
syslog-ng 7547 root 4w REG 3,3 217309 834024 /var/log/messages
显现与指定文件交互的统统统统
# lsof /home/daniel/firewall_whitelist.txt
高等用法
与tcpdump近似,当你起头组合查问时,它就显现了它壮大的功效。
显现daniel毗连到1.1.1.1所做的统统
# lsof -u daniel -i @1.1.1.1
bkdr 1893 daniel 3u IPv6 3456 TCP 10.10.1.10:1234->1.1.1.1:31337 (ESTABLISHED)
同时利用-t和-c选项以给历程发送 HUP 旌旗灯号
# kill -HUP `lsof -t -c sshd`
lsof +L1显现统统翻开的链接数小于1的文件
这凡是(当不老是)表现某个进犯者正测验考试经由过程删除文件进口来埋没文件内容。
# lsof +L1
(hopefully nothing)
显现某个端口规模的翻开的毗连
# lsof -i @fw.google.com:2150=2180
【在Linux体系中利用lsof号令的教程】相干文章:
Linux体系号令及利用技能03-19
linux体系中scp号令的利用方式04-07
linux体系号令11-23
linux体系号令(典范)01-25
linux中ipcs号令利用详解11-19
Linux体系下tar号令的利用技能03-09